Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
09/04/2015
Mozilla publica actualizaciones fuera de ciclo para Firefox
Mozilla ha publicado actualizaciones fuera de su ciclo habitual para Firefox, las actualizaciones comprenden dos boletines de seguridad que resuelven otras tantas vulnerabilidades.Las actualizaciones de seguridad comprenden actualizaciones para dos vulnerabilidades, una de criticidad crítica y otra de criticidad alta:
- MFSA 2015-44 (CVE-2015-0799) (Crítica): Vulnerabilidad en HTTP alternative Services, mediante la cual se puede evadir la validación de un certificado digital de servidor. Únicamente es necesario introducir una cabecera Alt-Svc en la cabecera de HTTP/2. Este fallo podría permitir suplantar la identidad de un servidor legítimo y así realizar ataques MiTM para comprometer las comunicaciones entre cliente y servidor.
- MFSA 2015-43 (CVE-2015-0798) (Alta): Se ha identificado un fallo en el modo lectura de firefox para Android. Al parecer, URLs privilegiadas podrían pasar al modo lectura y así evadir restricciones normales que se aplican a páginas web con el fin de proteger referencias a contextos privilegiados. Esta vulnerabilidad con otra que pudiera realizar una violación de política podría desembocar en una ejecución de código arbitrario.
Se encuentran afectadas las siguientes versiones:
- Mozilla Firefox 37.0 e inferiores
CVE-2015-0799, CVE-2015-0798
Solución:Se debe actualizar Mozilla Firefox a su versión 37.0.1 o superior.
Notas:Más información en artículo de Hispasec:
http://unaaldia.hispasec.com/2015/04/mozilla-publica-actualizacion-para.html
Mozilla Foundation Security Advisory 2015-43 - Loading privileged content through Reader mode:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-43/
Mozilla Foundation Security Advisory 2015-44 - Certificate verification bypass through the HTTP/2 Alt-Svc header:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-44/